TheMalwareGuardian/UEFI-Security-Research-Acronis-Boot-Media

GitHub: TheMalwareGuardian/UEFI-Security-Research-Acronis-Boot-Media

针对 Acronis Cyber Protect Boot Media UEFI bootloader 的安全研究,通过逆向工程和动态测试记录了两项关于内核完整性验证和未公开 Chainload 机制的发现。

Stars: 0 | Forks: 0

# ***🔎 UEFI 安全研究 - Acronis Boot Media***

针对 Acronis Cyber Protect Boot Media(版本 17.0.42054)的安全研究。通过静态分析以及在使用基于 QEMU 的自定义 UEFI 研究环境进行的动态测试,识别出两个发现。该研究涉及使用 Ghidra 对 UEFI bootloader 组件进行逆向工程,并在不同的 Secure Boot 配置下通过概念验证演示对每个发现进行了验证。

本仓库记录了专注于 Acronis Cyber Protect Boot Media 的安全研究成果。该 boot media 是 Acronis 作为 Acronis Cyber Protect 产品线的一部分分发的独立可引导 ISO 镜像,用于在主机操作系统加载之前的前操作系统环境中执行备份、恢复和磁盘管理操作。 该研究结合了使用 Ghidra 对 UEFI loader 二进制文件进行的静态分析,以及在受控的 QEMU 环境中使用 OVMF 固件在启用和禁用 Secure Boot 的配置下进行的动态验证。其目的是确切了解 boot media 是如何验证其加载的组件的、实施了哪些保护措施、这些保护在什么条件下处于活动状态,以及二进制文件中是否存在任何未公开的功能。 本仓库中描述的发现并不是传统意义上的简单漏洞。它们是对软件当前行为、设计可以改进的领域以及二进制文件中存在但未公开的功能的观察。在这位研究人员看来,这两个发现都是 Acronis 应该意识到并考虑解决的问题,即使实际利用的影响有限。 ## ***📑 目录***
## ***📦 受影响产品*** | 字段 | 值 | |-------|-------| | **产品** | Acronis Cyber Protect Boot Media | | **版本** | 17.0.42054 | | **Bootloader 模块** | bootwiz_efia64_307 | | **Bootloader 版本** | v1.1.307 | | **签名方** | Microsoft Corporation UEFI CA 2011 | | **供应商** | Acronis International GmbH | | **安全联系方式** | security@acronis.com |
## ***⬇️ 获取镜像*** Acronis Cyber Protect Boot Media ISO 可以直接从 Acronis 基础设施下载。本研究中使用的镜像是从以下 URL 获取的: ``` https://download.acronis.com/AcronisCyberProtect17/Boot_media.iso ``` 有关其他 Acronis Cyber Protect v17 组件及相关产品下载,官方下载页面可在以下地址找到: ``` https://www.acronis.com/en/products/cyber-protect/download/v17/ ```
## ***📋 研究发现*** 本仓库包含两份独立的文档,每份文档描述了在研究期间识别出的一个单独发现。 ### ***发现 001 - 内核完整性验证完全依赖于 Secure Boot 状态*** Boot media 包含一个签名文件 (`abr64ram.sgn`),其中包含 SHA-256 哈希值和旨在验证已加载内核及 ramdisk 完整性的 RSA-2048 签名。通过逆向工程,确定此验证仅在 UEFI 固件报告 Secure Boot 已启用且未处于 Setup Mode 时执行。当 Secure Boot 被禁用时,验证将被完全跳过,任何满足基本结构检查的内核都将被加载。这是对验证机制的设计及其对主机系统 Secure Boot 状态依赖性的观察。 → [阅读发现 001](./03%20ADV-001-Kernel-Integrity-Verification/README.md)

### ***发现 002 - 未受保护的 XML 配置中未公开的 Chainload 标签*** 对 `bootx64.efi` 的逆向工程揭示了一个未公开的 XML action 标签,名为 `Chainload`,由类 `EfiLoader::ChainLoad` 实现,该标签指示 loader 通过 UEFI `LoadImage` 和 `StartImage` 执行任意 EFI 二进制文件。此标签在默认配置中不存在,也未在 Acronis 文档中找到。XML 配置文件不受任何完整性机制保护。`Chainload` 功能与通过 `LoadImage` 加载的任何其他 EFI 二进制文件一样,受相同的 Secure Boot 强制执行约束,这意味着当 Secure Boot 处于活动状态时,只有已签名的二进制文件才能执行。这是对二进制文件中存在的未公开功能以及 XML 配置文件缺乏完整性保护的观察。 → [阅读发现 002](./04%20ADV-002-Chainload-Mechanism/README.md)

## ***⚙️ 研究环境*** - **宿主机 OS:** Windows - **虚拟化:** 使用 OVMF 固件的 QEMU - **Secure Boot:** 测试了启用(Microsoft keys)和禁用两种情况 - **反汇编器:** Ghidra - **Boot Media 版本:** Acronis Cyber Protect Boot Media 17.0.42054 - **PoC 中使用的内核:** Debian 6.12.86+deb13-amd64 (netboot installer bzImage) 有关设置等效 UEFI 研究环境的详细信息,请参阅 [QEMU UEFI 研究环境](https://github.com/TheMalwareGuardian/QEMU-UEFI-Research-Environment) 仓库。
## ***📅 披露时间表*** | 日期 | 事件 | |------|-------| | 2026-05-29 | 进行研究并记录发现 | | 2026-06-11 | 向 Acronis Security (security@acronis.com) 提交初步披露 | | 2026-06-11 | Acronis 确认收到报告 | | 2026-07-01 | Acronis 确认报告的发现属于有意的设计决定 | | 2026-07-01 | 披露过程结束 | | 2026-07-01 | 公开披露 |
标签:Secure Boot, UEFI安全, 云资产清单, 漏洞分析, 路径探测, 身份验证强制, 逆向工具, 逆向工程